Winhexのより詳細なグラフィック使用チュートリアル
Winhex More Detailed Graphic Use Tutorial
この記事は主にwinhexのより詳細なグラフィック使用チュートリアルを紹介し、それを必要とする友人はそれを参照することができます。
ソフトウェアの名前:
WinHex(Professional Hex Editor)v19.6チャイニーズグリーンスペシャルエディション
ソフトウェアのサイズ:
2.83MB
更新しました:
2018-03-12
ダウンロードアドレス:https://www.jb51.net/softs/16546.html#download
データ復旧の分類:ハード復旧とソフト復旧。いわゆるハードリカバリは、ディスクの不良セクター、回路基板のチップの焼損、異常なディスクサウンドなど、ハードディスクの物理的な損傷であるため、一般ユーザーはデータを簡単に取り出せないため、修正します。同時に、内部のデータを保持するか、後でデータを復元することもデータ復旧と呼ばれますが、これらの障害には、いわゆるソフトリカバリと呼ばれる簡単な点と難しい点があります。つまり、ハードディスク自体に物理的な損傷はありません。ただし、人的またはウイルスによる損傷が原因でデータが失われる(フォーマットミス、パーティション分割など)場合、このようなデータリカバリはソフトリカバリと呼ばれます。
ここでは、主にソフトリカバリを紹介します。ハードリカバリには、いくつかのツールや機器(pc3000、はんだごて、さまざまなチップ、回路基板など)も購入する必要があるためですが、回路の基礎についても理解する必要があります。ここに。知識は、データ構造の原則の両方を幅広く、深くカバーし、データを手動で正確に回復するための基礎を提供し、データとすべてのソフトウェアの迅速な回復を促進するためのさまざまなデータ回復ソフトウェアの使用方法と技術を持っていますオンラインでダウンロードし、ペニーを投資する必要はありません。
データ復旧の前提:データを破壊して2回カバーすることはできません!
デジタルおよびコードシステムについて:
彼はデータ復旧を手伝ってくれず、私たちを気絶させるのは簡単なので、2進数、16進数、8進数の変換についてはこれ以上言いたくありません。詳細については、Baiduにアクセスして検索してください。この分野にはたくさんの情報があるので、これ以上言う必要はありません。
データ復旧私たちは主に16進エディタを使用します:Winhex(データ復旧優先ソフトウェア)
データ構造を見てみましょう。
以下は、3つのゾーンに分割されたハードディスク全体のデータ構造です。
| MBR | Cドライブ | EBR | Dディスク | EBR | Eディスク |
マスターブートレコードであるMBRは、ハードディスク全体の0シリンダー0トラック1セクターにあり、合計63セクターを占めていますが、実際には1セクター(512バイト)しか使用していません。マスターブートレコードの合計512バイトで、MBRは3つの部分に分割できます。最初の部分:446バイトを占めるブートコード2番目の部分:64バイトを占めるパーティションテーブル3番目の部分:終了フラグである55AAは2バイトを使用します。後で、winhexソフトウェアを使用して間違ったパーティションを回復し、主に2番目の部分であるパーティションテーブルを復元する方法について説明します。
ブートコードの役割は、ハードドライブにブート可能な機能を持たせることです。ブートコードが失われ、パーティションテーブルがまだ存在する場合、ハードディスクはスレーブディスクと同じパーティションにありますが、ハードディスク自体を使用してシステムを起動することはできません。ブートコードを復元する場合は、DOSでコマンドを使用できます。FDISK/ MBRこのコマンドは、ブートコードの復元にのみ使用され、パーティションの変更やデータの損失は発生しません。さらに、DISKGEN、WINHEXなどのツールソフトウェアを使用することもできます。
ただし、パーティションテーブルが失われると、ゾーンを分割せずに新しいハードディスクを購入した場合と同じように、ハードディスク全体にパーティションがなくなります。多くのウイルスが破壊したいエリアです。
EBR、拡張MBRとも呼ばれます。マスターブートレコードMBRは最大4つのパーティションアイテムしか記述できないため、1つのハードディスクで4つ以上の領域を分割する場合は、拡張MBR方式を使用する必要があります。
MBRとEBRは、パーティショニングによって生成されます。
たとえば、MBRとEBRはそれぞれ63セクターを占め、Cディスクは1,435,329セクターを占めます...データ構造は次のとおりです。
| 63 | 1435329 | 63 | 1435329 | 63 | 1253889 |
| MBR | Cドライブ | EBR | Dディスク | EBR | Eディスク |
| 拡張パーティション | |||||
各パーティションは、DBR、FAT1、FAT2、DIR、およびDATA5の部分で構成されています。たとえば、Cディスクのデータ構造は次のとおりです。
| Cディスク | ||||
| DBR | FAT1 | FAT2 | あなたへ | データ |
Winhex
Winhexは最も使用されているツールソフトウェアです。これは、Windowsで実行される16進編集ソフトウェアです。このソフトウェアは非常に強力で、完全なパーティション管理およびファイル管理機能を備えており、パーティションチェーンとファイルクラスターチェーンを自動的に分析できます。ハードディスク上でさまざまなレベルのバックアップを実行でき、ハードディスク全体のクローンを作成することもでき、任意のファイルタイプ(16進数で表示)のバイナリコンテンツを編集できます。そのディスクエディタは、物理ディスクまたは論理ディスクの任意のセクターを編集できます。手動でデータを回復するための推奨ツールです。
まず、Winhexをインストールする必要があります。インストールが完了したら、winhexを起動できます。起動画面は次のとおりです。起動ダイアログボックスが最初に表示されます。
ここでディスクを操作したいので、「ディスクを開く」を選択すると、「ディスクの編集」ダイアログボックスが表示されます。
このダイアログボックスでは、単一のパーティションを開くか、ハードディスク全体を開くかを選択できます。 HD0は、私が現在使用しているWestern Digital40Gシステムディスクです。 HD1は、分析したいハードディスク、Maxtor2Gです。ここでは、HD1ハードディスクを開き、[OK]をクリックします。次に、Winhexの動作するインターフェイス全体を確認します。
上部にはメニューバーとツールバーがあります。下の最大のウィンドウはワークスペースです。これで、ハードディスクの最初のセクターの内容が16進数で表示され、対応するASCIIコードが右側に表示されます。右側には詳細なリソースパネルがあり、ステータス、容量、現在の場所、ウィンドウステータス、クリップボードステータスの5つのセクションに分かれています。これらの状況は、ハードディスク全体の状況を把握するのに非常に役立ちます。さらに、それを右クリックして詳細なリソースパネルをウィンドウと交換するか、リソースパネルを閉じます。 (リソースパネルが閉じている場合は、[表示]メニュー-[表示]コマンド-[詳細リソースパネル]から開くことができます)。
下の列は、現在のセクター/セクターの総数など、非常に役立つ補助情報です。
スクロールバーをプルダウンして、灰色のバーを表示します。各バーはセクターです。セクターには合計512バイトがあります。各2桁は、00などのバイトです。
最初の446バイトはブートコードであると前に述べたので、MBRを分析してみましょう。これは私たちにとって無意味です。ここでは、パーティションテーブルの64バイトのみを分析します。
パーティションテーブルは64バイトで、合計4つのパーティションエントリを記述できます。各パーティションテーブルエントリは、プライマリパーティションまたは拡張パーティションを記述できます(上記のパーティションテーブルなど、最初のパーティションテーブルエントリはプライマリパーティションCディスクを記述し、最初の2つのパーティションテーブルエントリは拡張パーティションを記述し、3番目と4番目のパーティションは記述します)。テーブルエントリはゼロで埋められます。
各パーティションテーブルエントリにはそれぞれ16バイトがあり、各バイトの意味は次のとおりです。(Hは16進数を示します)
| バイト位置 | 内容と意味 |
| 1バイト目 | ガイドサイン。値80Hはアクティブなパーティションを示し、値00Hは非アクティブなパーティションを示します。 |
| 2、3、4バイト | このパーティションの開始ヘッド番号、セクター番号、およびシリンダー番号 |
| 5バイト目 | パーティションタイプ: 00H-パーティションが使用されていないことを示します 06H——FAT16基本パーティション 0BH-FAT32基本パーティション 05H-拡張パーティション 07H-NTFSパーティション 0FH-(LBAモード)拡張パーティション 83H-Linuxパーティション |
| 6バイト目、7バイト目、および8バイト目 | このパーティションのエンドヘッド番号、セクター番号、シリンダー番号 |
| 9、10、11、12バイト | このパーティションの前に使用されたセクターの数 |
| 13、14、15、16バイト | このパーティションのセクターの総数 |
このハードディスクの最初のパーティションテーブル(MBR)は、次のように分析されます。
最初のパーティションテーブルエントリ(Cドライブ)
最初のバイト80:パーティションがアクティブパーティションであることを示します
5番目のバイト0B:パーティションタイプがFat32であることを示します
9、10、11、12バイトシステム隠しセクター3F 00 00 00:いわゆるシステム隠しセクターはこのパーティション(Cドライブ)の前に使用されるセクターの数です。これは16進数ですが、注意してください:真の数非表示セクターの数は逆に入力する必要があります(たとえば、非表示セクターの数は3E 4D 5A 6Fであり、これは6F 5A 4D 3Eであり、これは実際の非表示セクターの数です)。次に、3F 00 00 00は、3Fである00 00 003Fを書き込み、彼を10進数に変換して、非表示セクターの実際の数がどれだけ大きいかを確認します。これは、電卓を使用して計算できます。次に示すように、ツールバーの[電卓]ボタンをクリックします。
これで電卓が起動します
電卓には2つのモデルがあります。 16進変換に変換する場合は、「scientific」を選択する必要があります。
たとえば、16進数の3Fを10進数に変換する場合は、最初に「16進数」を選択してから、3Fと入力する必要があります。
次に、「Decimal」を選択し、16進数の3Fを63に等しい10進数に変換します。前に述べたことを考えてみてください。MBRは63セクターを占めます。つまり、Cドライブの前に使用されたセクターの数は63で、64番目のセクターです。はCドライブの最初のセクターですが、注意する必要があります。はい、ハードディスク全体のLBAアドレスはゼロから始まり、0〜62のセクターはMBRです。
13、14、15、および16バイトのセクターの総数(もちろん、これはCドライブのサイズです):C1 E61500。同様に、実際の16進数は逆になります。これは0015 E6 C1であり、16進数に変換すると1435329になります。質問をしてください。DドライブのEBRのどのセクターを知っていますか?一緒に数えましょう、前のデータ構造の表を覚えていますか? Cドライブの背後にあるEディスクはEBRではありませんか? Dディスクの最初のセクターEBR = MBR + Cディスクのサイズ、つまり63 + 435329 = 1435392。
正しいかどうかを確認するには、ツールバーの[セクターに移動]ボタンをクリックすると、[セクターに移動]ダイアログボックスが表示されます。
次に、1435392と入力し、[OK]をクリックすると、1435392セクターに到達します(これを使用してセクター0に戻ることができます)
これは、DドライブのパーティションテーブルであるDドライブのEBRです。どうやってわかったの? MBRとEBRの構造はまったく同じであるため、63セクターを占有しますが、最初のセクターのみが使用され、残りの62セクターは使用されません。最初のセクターの最初の446バイトはブートコード、最後の64バイトはパーティションテーブル、最後の2バイトは55AA終了フラグです。 EBRはアクティブなパーティションではなく、ブートコードを必要としないため、最初の446バイトはゼロです。
DドライブのEBRを直接見つける別の方法があります。「アクセス」ドロップダウンボタン-「パーティション2」-「パーティションテーブル」をクリックして、1435392セクターに直接アクセスします。
このようにして、パーティションテーブルの最初のパーティションテーブルエントリは、合計16バイトで分析されます。 2番目のパーティションテーブルエントリ(拡張パーティション)を見てみましょう。
1番目のバイト00:非アクティブなパーティションを示します
5番目のバイト05:拡張パーティションを示します
9、10、11、12バイト目00 E7 15 00:このパーティションの前のセクター数(拡張パーティションの前部は、前にこの数を計算したかのように、MBRおよびCドライブでもあります)?)もう一度、最初のターン戻って、それは00 15 E7 00です、そして10進数に変わるのは1435392です、私たちは本当に前にこの数を数えたようです。
13、14、15、および16番目のバイト40 09 29 00:このパーティションのセクターの総数。つまり、拡張パーティションのセクターの総数です。 10進数に変換すると2689344になります。この数値と前の1435392を使用して、ハードディスク全体のセクターの総数4124736ではないでしょうか。
したがって、パーティションテーブルが破棄された場合、値を計算して入力するだけで、パーティションテーブルは復元されません。では、2バイト目、3バイト目、4バイト目(開始ヘッド番号、セクター番号、このパーティションのシリンダー番号)と6バイト目、7バイト目、8バイト目(終了ヘッド番号とセクター番号)を分析してみませんか。このパーティションの)、シリンダー番号)?これは、C / H / S(シリンダー/ヘッド/セクター)が旧式のハードディスクのアドレッシングモードであるためです。この種のアドレッシングモードは、ハードディスクの管理には非常に非効率的です。現在、ほとんどすべてのハードディスクがLBAをサポートしています(フルネームはLogicです)。セクターの論理ブロックアドレスであるブロックアドレス)は、シンプルで効率的です。 LBAモードでは、システムはすべての物理セクターにゼロから特定の最大値まで均一に番号を付けます。そのため、一意の物理セクターを決定するために1つの序数のみが使用されます。
ヒント:特定のハードディスクは、さまざまなツールソフトウェア(MHDD WINHEXなど)で検出できるため、覚えておく必要のないLBA(セクター)の数。 10Gハードドライブには約2000万セクターがあります20Gハードドライブには約4000万セクターがあります40Gハードドライブには約8000万セクターがあります...そして、2Gハードドライブにはおそらく400万セクターがあります。
次に、次の質問をする必要があります。パーティションテーブルを復元する場合は、開始ヘッド番号、セクター番号、シリンダー番号、終了ヘッド番号、セクター番号、シリンダー番号を入力する必要がありますか?とても簡単です。後でパーティションテーブルを復元するときにお知らせします。直接計算する必要はありません。
DドライブのEBRの分析にも興味がありますか?
実際、DドライブのEBRとEドライブのEBRは、MBRの構造と同じパーティションテーブルにすぎないため、分析されませんが、私たちを気絶させるのは簡単です。 EBRは一般的に簡単に破壊されないため、EBRの分析はお勧めしません。
しかし、それを分析する必要がある場合は、それを分析します。
[アクセス]ドロップダウンボタン-'パーティション2-'パーティションテーブル 'をクリックして、DドライブのパーティションテーブルEBRである1435392セクターに直接アクセスします。
最初のパーティションテーブルエントリ(Dドライブ):
1番目のバイト00:非アクティブなパーティションを示します
5番目のバイト06:FAT16パーティションを示します
9、10、11、および12番目のバイト3F 00 00 00:このパーティションの前に使用されたセクターの数、つまりEBRの数63。
13、14、15、および16バイトC1 E6 15 00:このパーティションのセクターの総数、つまり、最初に反転されたDディスクのセクターの数は00 15 E6C1に変換されます。 10進数は1435329です。
2番目のパーティションテーブルエントリ(Dドライブの後ろ):
1番目のバイト00:非アクティブなパーティションを示します
5番目のバイト05:拡張パーティションを示します
バイト9、10、11、12 00 E7 15 00:このパーティションの前に使用されたセクターの数、つまり、EBRの合計サイズとDディスクのDディスク、63 + 1435329 = 1435392
13、14、15、および16番目のバイト40 22 13 00:このパーティション内のセクターの総数1253752。これは、EディスクのサイズにEBRの数を加えたものです。
「アクセス」ドロップダウンボタン-「パーティション3」-「パーティションテーブル」をクリックして、2870784セクター、つまりEに直接アクセスします。
ディスクのパーティションテーブルEBR。 Eディスクの背後にパーティションがないため、2番目のパーティションテーブルエントリはありません。ここでは勉強しません。興味があれば、自分のディスク用にハードディスクを用意して、個別に調べることができます。
上記の調査を通じて、MBRはパーティションを定義するときに、超過容量を拡張パーティションとして定義し、拡張パーティションの開始位置と終了位置を指定し、開始位置に従ってハードディスクのセクターを次のように指すことを要約します。次のパーティションエントリ。次に、セクター内のパーティションの定義を続けます。パーティションが1つしかない場合は、パーティションを定義し、複数のパーティションがある場合は終了し、基本パーティションと拡張パーティションを定義します。拡張パーティションは、セクターを説明する次のパーティションを指します。パーティションは、パーティション定義が終了するまで、上記の原則に従ってパーティション上で定義され続けます。パーティションを記述するために使用されるこれらのセクターは、すべてのパーティションを記述することができる「パーティションチェーン」を形成します。システムは、すべてのパーティションが見つかるまで、起動時にパーティションチェーンが接続されている順序でパーティションを検索します。このチェーンは明らかにオープンチェーン構造です。リングが形成されている場合、システム自体はそれを判断しません。追加の検出や処理を行うことなく、このチェーンに従ってパーティションを忠実に検索するだけです。いわゆるハードディスクロジックロックは、パーティションチェーンをリングに形成することです。これにより、システムは起動時にパーティションテーブル内を循環します。つまり、システムは起動できません。つまり、フロッピーディスクから起動します。ハードディスクに入ることができません。構造原理を理解してください。この問題を解決するのは簡単です。この問題を解決する方法はたくさんあります。後で説明します。システムはこの方法を使用して、ハードディスクパーティションを複数のハードディスクのように見せます。システムがCドライブ以外の論理ディスクを見つける唯一の方法は、EBRによって記述されたパーティションチェーンに沿ってパーティションを見つけることです。
実際、通常の状況では、EBRは破壊されないか、破壊の可能性は非常に低くなります。通常、MBRのみが破棄されます。この場合、MBRパーティションテーブルを64バイトで除算するだけで済みます。回復すると、他のパーティションは、パーティションテーブルによって提供されるチェーンに沿って自然に出てきます。では、どうすればパーティションテーブルを復元できますか?これは、Winhexの強力な機能と組み合わせたコンピューティングによって実現されます。
ウイルスによるパーティションテーブルの破壊をシミュレートし、MBRを入力してみましょう。まず、MBRが配置されているセクターを選択します。マウスを最初のバイトに向け、右クリックして[ブロック開始の選択]を選択します
次に、MBRの最後のバイトをポイントし、右クリックして[ブロックの終わり]を選択します。
次に、選択範囲内を右クリックして、[編集]を選択します。
だからメニューがあります
次に、[選択ブロックを塗りつぶす]を選択すると、塗りつぶし選択ダイアログボックスが表示されます。
[16進数で入力]入力ボックスに「00」と入力し、[OK]をクリックします
したがって、MBRが配置されているセクターはすべて「00」で埋められています。
選択をキャンセルする場合は、マウスを使用して領域をドラッグアンド選択すると、元の選択がキャンセルされます。セクターデータが変更されて保存されていない場合、別の色に変わることに注意してください。
セクターが変更されました。現時点では、ファイルは保存されていません。ファイルを保存する場合は、[ファイル]メニューの[ファイルの保存]コマンドを選択します。
このとき、プロンプトが表示されます。ファイルを保存しない場合は、[キャンセル]をクリックします。ファイルを保存する場合は、[OK]をクリックしてから、[はい]をクリックします。
これでディスクが保存され、セクターが変更されたデータが再び黒くなります。
そこで、パーティションテーブルを削除します。有効にするには、再起動する必要があります。私のコンピューターを開くと、3つのパーティション(F、G、H)がまだそこにあります。また、内部のデータは引き続き正常に使用できます。
ここで、すべてのプログラムを閉じて、コンピューターを再起動します...
長い間待った後、コンピュータが起動しました。コンピューターを開くと、F、G、およびHパーティションがなくなっていることがわかりました。
次に、Winhexを開き、MBRがすべてゼロであることを確認します。それでは、パーティションテーブルを手動で復元してみましょう。
最初にブートコードを復元します。これが最も簡単です。Winhexを使用してブートコードを別のシステムディスクにコピーするだけです。現在のマシンに2台のハードドライブがぶら下がっていませんか? Maxtor 2G、Western Digital 40G、Western Digital 40Gが私のシステムディスクであり、このディスクから回線上でコピーします。
[ディスクエディタ]ボタンをクリックします
[ディスクの編集]ダイアログボックスが表示されます
「HD0WDCWD400EB --- 00CPF0」を選択し、「OK」をクリックします
したがって、システムディスクのパーティションテーブルを開きます。2つのウィンドウを開いたので、現在のウィンドウは「ハードディスク0」であり、タイトルバーに表示されていることに注意してください。さらに、ウィンドウを開くメニューも表示されます。現在のウィンドウにはチェックマークが付いています。元のウィンドウに戻す場合は、[ハードディスク1]をクリックします。
まず、システムディスクのブートコードを選択します
次に、選択範囲を右クリックして、[編集]を選択します
別のメニューが出てきたので、「コピーブロック」-「通常」を選択しました
次に、ハードディスク1ウィンドウに戻り、ゼロセクターの最初のバイトを右クリックして、[編集]を選択します。
次に、「クリップボードデータ」-「書き込み...」を選択します。
ウィンドウプロンプトが表示されたら、[OK]をクリックします
このようにして、通常のシステムディスクにブートコードをコピーします。
次に、パーティションテーブルの復元を開始し(合計64バイト、4つのパーティションエントリに分割され、各パーティションテーブルは16バイトを使用し、通常は最初の2つのパーティションテーブルエントリのみを使用します)、最初に最初のパーティション標準を復元します(つまり、Cドライブを説明するために使用されます)。
まず、Cドライブがアクティブパーティションであるため、最初のバイト(0セクターの最後から5行目、最後から2番目のバイト)にパーティションブートフラグを入力します。80を入力します。
次は、2番目、3番目、および4番目のバイト(パーティションの開始ヘッド番号、セクター番号、およびシリンダー番号)であり、01 0100と入力します。
元のCドライブはFat32形式であるため、5番目のバイトはパーティションタイプの文字です。0Bと入力します。では、Cドライブのフォーマットがわからない場合はどうでしょうか。あなたは顧客に尋ねます、そして彼が知らないかどうか?心配しないでください。DBRを復元すると言うときに、パーティションの形式を区別する方法を説明します。
6バイト目、7バイト目、および8バイト目は、パーティションの終了ヘッド番号、セクター番号、およびシリンダー番号です。どうやってこれを知っていますか?心配しないでください。ディスクはLBAモードでアドレス指定され、C / H / S(およびシリンダー、ヘッド、セクター)モードではアドレス指定されないため、この場所に入力する内容は一般的にあまり重要ではありませんが、記入する一般的な方法があります。つまり、FE FFFFです。
9バイト目、10バイト目、11バイト目、12バイト目、このパーティションの前に使用されるセクター数、つまりMBRが占めるセクター数は、63ではありませんか?はい。ただし、63を16進数に変換してから、逆にして入力します。電卓の使い方を覚えていますか? 63を16進数に変換するのは3Fで、ゼロが追加される前の4バイト未満である00 00 00 3Fです。その後、数値は右から左に逆になり、3F 00 0000になります。
13、14、15、および16バイトは、パーティションのセクターの総数、つまりCドライブのサイズであり、少しの計算で得られます。 Cドライブは63番目のセクターから始まり、Cドライブの後にEBRが続くため、EBRが配置されている最初のセクターから63を引くと、Cドライブのサイズになります。では、EBRが配置されている最初のセクターをどのように見つけることができますか?前にも言ったように、EBRの構造はMBRの構造と同じです。したがって、EBRのエンドマークも55AAである必要があります。それで、このエンドマークを見つける限り、このセクターを見るとEBRではありませんか?
「検索」-「16進値を検索...」をクリックすると、ダイアログが表示されます
テキストボックスに「55AA」と入力し、検索ボックスで「すべて」を選択してから、「条件」を選択してオフセットを「512 = 510」に設定します。
もう一度[OK]をクリックします。写真は次のとおりです。
最初に最初の「55AA」を見つけます。セクターが探しているEBRではなく63番目のセクターにあることがわかります。次に、F3を押して検索を続けます。
また、いくつかのセクターが見つかりましたが、そうではありません、次のセクターはそうではありませんか?
前に述べたように、EBRの構造はMBRの構造と同じであるため、最後から2番目の行の最後から2番目のバイトは00 01であり、最初の446バイトは0である必要があります。明らかにこれはEBRではありません。 F3ルックを押し続けます...最終的に1435392セクターで本当のEBRを見つけました。
ヒント:ハードディスクが大きくなりました。セクターごとに55AAセクターを見つけるのは本当に遅すぎます。急ぐ方法はありますか?はい、それはCドライブの大きさについて顧客に尋ねることです。ほとんどの顧客はまだ知っています。たとえば、Cドライブの容量は約10 Gであるため、速度が遅すぎるため、最初から見るべきではありません。 10 Gは約2,000万セクターであるため、[セクターに移動]コマンドを使用して、1,900万セクターに直接移動できます。その場所からそれを探し始めるのははるかに面倒です。
1435392から63を引き、1435329を取得してから、16進数(15E6C1)に変換します。彼をCドライブのサイズであるC1E61500に引き渡します。このようにして、最初のパーティションテーブルエントリが完成し、それを保存してから、2番目のパーティションテーブルエントリに入力します。
2番目のパーティションテーブルの最初のバイト:非アクティブなパーティションであるため、00を書き込みます
2バイト目、3バイト目、および4バイト目、01 01 00(ユニバーサル)に入力します
5バイト目:拡張パーティションなので、0Fを入力します
6バイト目、7バイト目、および8バイト目:FE FF FF(一般)を入力します
9番目、10番目、11番目、および12番目のバイトは、このパーティションの前に使用されたセクターの数です。これは、Cドライブのサイズに63を加えたものである必要があります。これは、計算されたばかりの1435392です。 16進数に変換してから、元に戻します00 E7 15 00
13、14、15、および16バイト目は、パーティションのセクターの総数、つまり、拡張パーティションのセクターの総数、つまり、ハードディスク全体のサイズからCディスクのサイズを引いたものです。マイナス63、つまり4124736-1435329-63 = 2689344で、16進数に変換すると290940になり、これは40092900になります。
このようにして、2番目のパーティションテーブルエントリが完成します。
最後の終了記号55AAを入力することを忘れないでください。これにより、MBRが完全に復元され、最後に保存してから再起動します...
起動が完了した後、コンピューターを開くのが待ちきれず、3つのパーティションがすべて元に戻り、内部のデータが損なわれていないことがわかりました。
「マイコンピュータ」を右クリックし、「管理」を選択します
ダイアログボックスが表示されたら、[ディスク管理]を選択します。右側では、Disk Oneの3つのパーティション(Fat32、Fat16、Ntfs)がすべて戻っていることがわかります。この時点で、手動リカバリパーティションテーブルは正常に完了しています。
手動回復データ回復の成功率は比較的高く、より面白くてやりがいがあり、愚か者のようなソフトウェアでは見つけることができない多くのファイルを取得できますが、エンジニアは辛抱強く、目を覚ましている必要があります。操作が完了した後に何が起こるか、前のステップの状態に戻ることができますか?特に一部の破壊的な操作については、条件が許す限り、操作の前にバックアップを作成する必要があるため、慎重に検討する必要があります。そうしないと、「血」のレッスンが発生します。 ! !
以下では、DBR、FAT(このチュートリアルは有料チュートリアルに含まれています)の手動リカバリについて説明します。これは、パーティションテーブルを手動で復元するよりも複雑で、多くの計算が必要です。 Winhexを使用してデータを手動で回復する方法について説明した後、いくつかのデータ回復ソフトウェアについて説明します。データ復旧ソフトウェアと組み合わせると、データ復旧の成功率は大幅に向上しますが、一部のソフトウェアはスキャンプロセス中に元のディスクを破壊します。注意してください! ! !そして、同じソフトウェア、初心者とベテランの使用データ復旧の成功率はまったく同じではありません。これらのソフトウェアは無料で提供され、情報を学ぶことはできませんが、ソフトウェアを見つけることはできません。
FATファイルシステムでの手動データ復旧の場合
キーワード:データ復旧、データ復旧データ、データ復旧技術
この記事はFATパーティショニングに関するものです。使用ツール:winhex(非データ復旧専用)
ディスクの特定のストレージ原理、ここで私は説明します:
1.残りのセクターとは:残りのセクターには、パーティション内の残りのセクターとディスク全体の残りのセクターがあります。
まず、パーティション内のセクターについて説明します。ディスク容量を表す単位はセクターであり、パーティションの内部はクラスターによって管理されます。通常、セクターの容量は512bであり、クラスターのユニット容量はセクターの容量以上です。特定のケースでは、7GBのfat32パーティションのクラスターサイズは4kで、これは8セクターに相当し、パーティション内のストレージユニットは4kです。パーティション内のセクターの総数が8の倍数でない場合、残りのセクターは残りのセクターです。
ディスク全体の残りのセクターは、上記の原則と同様です。違いは、各パーティションの終わりが254個のヘッダーと63個のファンで終わる必要があることです(これは古いディスク管理モードの欠点でもあります!パーティションは線形ですが、論理セクターが主要なパラメーターです。つまり、合計の場合ディスクの容量はシリンダーの容量(1 * 254 * 63 * 512b = 8193024b)と正確に等しく、残りの容量はディスク全体の残りの部分です。セクターは最大で、約7.8mです。これはパーティションの最小容量が7.8mで、パーティション容量が8193024bの倍数である理由でもあります(この図は、ディスク全体の残りのセクターを示していません。誰もが理解できます!)
2. fat32用に予約されているセクターの数は通常32ですが、38または他の数になる場合があるかどうかは定かではありません。もちろん、dbrのbpb(biosパラメータブロック)パラメータテーブルも使用できます。変更では、データ復旧における彼を理解することの重要性についてお話します。 (検索するデータ復旧ネットワークへのdbrパラメーターの説明)
3、小容量のディスクパーティションでは、fat16のパーティション形式でも存在します、原則?フロッピーディスクのストレージの原則と同様に、データ復旧ネットワーク「アンチブラックアクションのためのデータ復旧」を参照してください。
ここで実際の戦闘に入ります:
最初のケースでは、パーティションがフォーマットされます。それをフォーマットすれば、もちろん既製のデータ復旧ソフトウェアを使用して復旧できますが、ソフトウェアは結局のところソフトウェアであり、複雑で複雑な状況に対処することはできません。マニュアルとは異なり、ディスクの構造を理解していれば、最大限に回復することができます。データ復旧ソフトウェアを見て、フォーマットされたディスクパーティションを手動で復元しましょう。
fat formatパーティション(fat16を含む)の場合、formatコマンドはdbrセクターを再構築し、2つのfatテーブルを空にして、パーティションの最初のクラスターをクリアします(元のルートディレクトリを保存します)。クイックフォーマットかフルフォーマットか(クイックフォーマットとフルフォーマットの違いは、関連するディスクセクターをスキャンし、上記のデータをクリアするかどうかです)。 dbrの場合、適切にフォーマットされている限り、パーティションは正しいdbrを生成するため、ファットテーブルと元のルートディレクトリに焦点が当てられます。 (元のルートディレクトリが1つのクラスターよりも大きい場合、これは最初のクラスターにすぎません。便宜上、元のルートディレクトリは後で使用されます。上記)。バックアップの前に、このパーティションのフロートテーブルとルートディレクトリをフォーマットする場合。次に、dbrを初期化し、fatテーブルとルートディレクトリを復元して、データを完全に回復します。ただし、フォーマットされているため、ファットテーブルとルートディレクトリのバックアップがあってはなりません(ナンセンス!!!)。続ける:
最初に、ディレクトリの最初のファンが空であるルートディレクトリを言いますが、元に戻らないでください。したがって、フォーマット前にルートディレクトリに保存されたファイルは、ファイルの検索とサイズの決定に従って、ファイルに含まれる機能文字列を知らない限り、最初に保存されたファイル記述テーブルが失われるため、取得が困難になります。 、復元するファイルはディスクに継続的に保存されます。
ファットテーブル、ファットテーブルの喪失は、クロスストアされたファイルにとってほとんど災害であるとしましょう。原則として、失われた場合、ファイルの最初のクラスターから始まる少数のクラスターのみを回復できます。ただし、復元するファイルが小さい場合や、パーティションが頻繁に削除されていない場合でも、有望です。
ファットテーブルに手動で入力するのは非現実的です。元のディレクトリ構造を再現し、解決策を考える必要があります。 Windowsのディスクファイル形式はツリータイプです。書式設定は、ツリーのルートを折りたたむだけです。ルートが壊れた後、それは複数のツリーを生成するようなものです(データ構造を考えてください)。復元するファイルがすべて1つのサブディレクトリにある場合。さて、このサブツリーのルートを元のツリーのルートに入れて、新しいツリーを作成しましょう。 winhexの使用法を参照すると、例として次のwinhexは、最初に、ディスクがフォーマットされていないか、フォーマットされていない場合、参照可能なdbrおよびfatテーブルを生成するために最初にフォーマットされます。次に、パーティション内の関連する文字列を探して、このサブツリーの「ルート」位置を決定します。元のディレクトリにsjhfnet.txtが含まれているファイルを覚えている場合(他のディレクトリにファイルがないか、ファイルが少ないファイルを選択)、パーティション全体で「sjhfnet txt」を見つけ、関連する特性に従って決定できます。この時点で、「。」が必要であることに注意してください。元のパーティションの機能の一部、主に予約済みセクターの数など、dbrのbpbパラメーターを推測するためにディレクトリに提供されるディレクトリ。 (一般的には間違いではありませんが、セクターに不一致がある場合、パーティション全体のディレクトリのマッピングは適用されないか、それを確認します!)、「。」とは何ですか。ディレクトリ? dosを学んだ人なら誰でも、ディレクトリ「。」を知っています。は現在ディレクトリにあり、「..」テーブルは上位ディレクトリであり、32のサブセクションのディレクトリエントリには、他のディレクトリエントリと同じ機能が含まれています。ディレクトリの場所(元のパーティション形式の最初のいくつかのクラスター)を気にします。彼は、現在のクラスター番号と同じである必要があります。あれは
オフセットの値が15h14h 1bh1ahが現在のクラスター番号と等しいかどうかを確認します。 winhexでフォーマットされたディスクは、現在のクラスターのクラスター番号を明確にリストでき、比較できます(16進数と10進数の変換が必要な場合があります)。
同じことは言われていません、それが同じでなければ、それは似ているはずです。異なるクラスターの数を計算してから、パーティションのdbrセクターの0br〜0fhにある予約済みセクターの数を増減します。これは、予約済みセクターの数を元の数に戻します。コンピューターを再起動すると、新しいdbrが有効になり、現在のファットテーブルがクリアされます(ルートクラスターは後で説明するため、空にすることはできません)。ファイルディレクトリエントリのマッピングは、実際のアドレスと適切に組み合わされます。 (わからない?原理を考えて、消化してみてください)
次に、クラスターのコピーを見つけます----->現在のルートディレクトリに----書き込みます。
「エクスプローラー」を開いて、閲覧して、出てきますか?
スロー!まだ完成していませんが、現在のディレクトリ構造は終了していますが、ファットテーブルによって記録されたクラスターがまだ空いているため、アクセスできません。実行する方法?手動で書いてください、忘れてください、多分それは30年間書かれるでしょう!ハハ!どこ。 。 。 。実際、復元するファイルサイズが1クラスターの範囲内にある場合は、win98でディスクスキャナーを実行し、修復を求められたら対応するイメージ修復を選択できます([関連するファイルの削除]オプションは選択しないでください。さらに、win2000では、スキャナーはファイルを直接削除します)。このように、サイズ1のクラスターのファイル(ファイルを含む)は完全には回復されません。では、この場合、1クラスターより大きいファイルをどのように回復しますか?まず、関連するクラスターの継続性を実現するための小さなプログラムを作成できます。そうでなければ、それは難しいことではありません、あなたは一度に一つのファイルを来なければなりません。 winhexを開き、そのディレクトリテンプレートを使用してファイルストレージ領域にジャンプし、現在のクラスターからファイルサイズの連続データをコピーし、新しいファイルに書き込みます(他のパーティションに書き込むことを忘れないでください)。もちろん、クラスターの数が少ない場合は、fat1で直接変更できます。
さらに、このように復元されたファイルは必ずしも正しいとは限りません。元のファイルの保存が継続しているかどうかを確認したいですか?復元されたファイルが利用できない場合は、。 。 。 。あなたの運命を聞いてください! ! ! (ディスク上で自分で探し、分析し、接続します。ただし、ワークロードは?...)
これにより、前のサブディレクトリのデータが復元されます。復元するデータのディレクトリが複数ある場合は、同じ方法でルートディレクトリ(最初のデータクラスタ)を置き換えるか、手動でルートディレクトリを作成できます。ただし、リソースマネージャーでは実行せず、winhexで手動で実行してください。行きましょう!また、復元されたディレクトリに複数のクラスタがある場合は、同じ方法を使用してルートディレクトリとしてそれらを見つけます。
これは、パーティション形式がfat32の場合です。たとえば、fat16は予約済みセクターの数を考慮する必要はなく、fat16には予約済みセクターがありません。
これはカタログアイテムの場合です。
ディレクトリエントリの参照がない場合について説明します。
次のデフォルトは、FAT32ファイル形式で復元されるファイルです。
ディスクがxxxによって破壊された場合。または、Nマスターの二次処理、「処理」、および使用されているツールとソフトウェアをすでに通過しています。その結果、必要なデータの影がまだ見えていません。または、回復したいデータがほとんどない場合(いくつかのソースコード、またはいくつかの論文、いくつかの小さなデータベース、またはデータが失われる直前にディスクが最適化されていることを確認する)、上記で使用した方法を使用する価値はありません。ディスク上の検索方法を使用してデータを要約できます(笑わないでください。注意が必要です。これが唯一の方法かもしれません!)
これは、ディスクファイルのストレージ特性とファイルに固有のタイプ特性によって考慮することができます。私は「黒人対策のデータ復旧」(風のような男)がファイルが少なくともディスク上のセクターにあること、つまりディスク内の各ファイルの実際のストレージの始まりが必要であることを知っているはずです。セクターの始まりです。これは2つのうちの1つです。各タイプのファイルには固有のファイルマークがあり、ファイルの特定のマーク(通常はファイルの先頭)とディスク上の位置に従って定義できます。
テキストファイルの場合は、ディスク上の機能文字列を検索することで見つけることができます。しかし、少し知識のある人はそれを知っています、それを言わないでください。 (またはwinhexを使用してください!ハードディスクの速度に問題がない場合は、1分未満で1Gの容量を見つける必要があります)
暗号化された、または特徴的な機能文字列がない特定の例を見てみましょう(これが最も一般的なケースです)。例として、Officeドキュメントの回復を取り上げます。
Officeドキュメントの実際の構成は常に
'00000000 D0 CF 11 E0 A1 B1 1A E1 00 00 00 00 00 00 00 00Xing。?? .......'
次のバイナリ機能から始まります。
-------------------------------------------------- -------------------------------
00148940 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF
00148950 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF
00148960 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF
00148970 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF
00148980 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF
00148990 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF
001489A0 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF
001489B0 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF
001489C0 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF
001489D0 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF
001489E0 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF
001489F0 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF
00148A00 01 00 FE FF 03 0A 00 00 FF FF FF FF 06 09 02 00 ..?.... ????..。
00148A10 00 00 00 00 C0 00 00 00 00 00 00 46 18 00 00 00 ....?..... F...。
00148A20 4D 69 63 72 6F 73 6F 66 74 20 57 6F 72 64 20 44 Microsoft Word D
00148A30 6F 63 75 6D 65 6E 74 00 0A 00 00 00 4D 53 57 6F ocument ..... MSWo ..
00148A40 72 64 44 6F 63 00 10 00 00 00 57 6F 72 64 2E 44 rdDoc ..... Word.D
00148A50 6F 63 75 6D 65 6E 74 2E 38 00 F4 39 B2 71 00 00 ocument.8。? ..
-------------------------------------------------- -------------------------------
(これはwinhexに示されているケースであり、この部分は最後のセクターの中央部分のコンテンツです#
ファイルの先頭と末尾のフラグが決定されているので、ディスク上で検索できます。すべての「D0CF11 E0 A1 B1 1A E1」を検索し、その位置を保存します。特定のテールフラグを検索し、その場所を保存します。 winhexの「ロケーションマネージャー」で保存されたロケーションを監視します。削除位置は、「000H」、「002H」、「004H」、「006H」、「008H」で終わるファイルのヘッダーではありません(セクター容量が512B = 200HBであるため)。非位置フィーチャーのテールマークを削除します(200Hの余剰の結果を参照)。次に、余分なヘッダーまたはテールマークを削除します。 (ペアである必要があります)
この例では、例としてWord2000ドキュメントを使用しています。一般に、Word文書のサイズは大きすぎてはいけません。 winhexのロケーションマネージャでは、すべてのロケーションがアドレスでソートされています。したがって、ペアのヘッドフラグとテールフラグを見て、それらのオフセットが論理的であるかどうかを確認します。そうでない場合は、削除してください。
次に、残りが最も可能性が高いです。言うまでもなく、残りは!ヘッドアドレスとテールアドレスの各ペア間でデータを保存します。 (成功しません!)
これはOfficeファイルの例です。実際、ほとんどのドキュメントには署名があり、関連資料またはそれ自体で見つけることができます。特定のテールマークのないファイルの場合、その構造にも特徴があり、ヘッドのロゴと構造が組み合わされています! (しかし、少し難しいかもしれません!)また、復元されたファイルから削除されたファイルがあるかもしれません、方法はありません。私は皆を平等に扱わなければなりません。ただし、一般に、削除されたファイルの先頭は、最初にシステムの他のファイルによってカバーされ、作業負荷も軽減される可能性があります。
スクリプトハウスに転載https://www.jb51.net/softjc/504010_all.html